因为键盘记录工具的监视,你的个人资料正面临危险。本文为此支招,让我们成功锁定这种可恶的寄生虫。
对付软件记录器工具
软件记录
对付软件键盘记录工具的一个最为有效的程序是我国生产的通用anti-rookit工具,叫做冰刃(Icesword)(访问http://pjf.blogone.net) ,该程序有英文界面。虽然该程序才700KB的大小,被被IT专家广为推崇,被视为是最好的rootkit(译者注,一种病毒常采用的技术)检测工具之一。该工具不仅仅指出隐藏的进程,而且能识别出Windows内核发生的变化,使通常被rootkits用做藏身之地的系统服务描述符表(SSDT, System Service Descriptor Table)的篡改无遁身之处。
然而,你应留心谨慎。由于冰刃工具本身并不会创建备份,所以用该工具执行的指令无法撤消,因此,在试图清除隐藏进程、注册表条目或驱动硬盘之前应做好备份。开始工作之前,在另外一个硬盘上或DVD上备份好根分区,或至少备份好注册表,创建系统恢复点。
可疑进程将以红标在进程和SSDT窗口显示出来。要识别真正的威胁,你需要全面掌握系统知识,这样才能分清良性和恶性对象。有些对象无法从显示它们的窗口中直接删除,但你可采用能从注册表和文件菜单中激活的内置工具。无论是从注册表还是从文件菜单中激活用户操作起来都不太方便,但这两种途径都能删除受rootkits保护的条目。
冰刃Icesword是查杀键盘记录工具和其他rootkits工具的最有效的程序之一
冰刃Icesword可以红色显示挂钩(hook)—即软件可能截取系统进程的点。由于冰刃Icesword无法分清哪些挂钩属于防火墙,哪些属于恶意程序,因此,你得在网络搜索,找到那些“寄生虫”是什么名字来伪装起来的。举例来说,在测试中,我们发现:vsdata.sys文件属于Zone Alarm Desktop Firewall;另一个可疑文件名为systemrootsystem32driverscrusoe2k.sys,没有在Windows Explorer中显示出来。我们用Rootkit Revealer再次进行检查,该工具同样“指控”那个可疑文件。如果你想要执行更为彻底的检测,我们建议你使用Metasploit恶意程序检测工具(http://metasploit.com/research/misc/mwsearch/index.html)。访问www.castlecops.com/t165203-Icesword_Instructions_in_English_Illus-
trated.html,你也可以找到冰刃Icesword使用指导,可一步一步教你如何使用该工具。(下一页)
网友评论